靜態(tài)賬戶是指一組由用戶名和固態(tài)密碼組成的賬戶。固態(tài)密碼是指與用戶名協(xié)同進(jìn)行身份認(rèn)證的密碼，在一段時間內(nèi)保持不變，有較長的生命周期，只有在人工干預(yù)的情況下才可能發(fā)生變化，業(yè)界有時也稱之為靜態(tài)密碼。

二次身份認(rèn)證是指用戶的靜態(tài)賬戶通過認(rèn)證后，再對用戶的合法性進(jìn)行一次有效性檢查。本文將靜態(tài)賬戶認(rèn)證稱為第一次認(rèn)證，后者稱之為二次認(rèn)證。

第一次身份認(rèn)證與第二次身份認(rèn)證通過不同的網(wǎng)絡(luò)進(jìn)行，稱為雙鏈路。比如登錄一個社區(qū)，使用靜態(tài)賬戶在PC端通過其門戶進(jìn)行第一次認(rèn)證，再通過移動終端進(jìn)行第二次身份認(rèn)證，這就是一個雙鏈路的認(rèn)證過程。但是如果將移動終端生成的密碼在同一PC端通過社區(qū)的門戶進(jìn)行二次認(rèn)證，則是單鏈路的認(rèn)證過程。

本文將口令、密碼統(tǒng)稱為密碼。OTP(One-Time Password)是一種具有時效性與使用一次性的密碼，通常情況下，由于其生命周期小于一分鐘，與固態(tài)密碼相對應(yīng)，稱之為動態(tài)密碼，有時也稱為動態(tài)口令，本文統(tǒng)一為動態(tài)密碼或使用英文簡稱OTP。

手機(jī)密令(”Me”令)利用先進(jìn)的雙鏈路登陸保護(hù)方案，對用戶登陸進(jìn)行二次身份驗證，有效確保用戶身份的唯一性和合法性。

背景與現(xiàn)狀

20世紀(jì)末期，隨著信息技術(shù)的飛速發(fā)展，大量以手工方式處理的傳統(tǒng)業(yè)務(wù)被信息系統(tǒng)代替，工作方式的轉(zhuǎn)變也影響到以部門或崗位來確定工作內(nèi)容和職責(zé)的物理世界。信息系統(tǒng)為了一一映射現(xiàn)實世界的責(zé)任和分工，便建立了一套以用戶、角色、權(quán)限為一體的完整的權(quán)限體系，靜態(tài)賬戶由此應(yīng)運而生。

在一段時間內(nèi)，靜態(tài)賬戶解決了信息系統(tǒng)孤立環(huán)境下的權(quán)限分配問題，有效的保護(hù)了虛擬環(huán)境下的業(yè)務(wù)操作和數(shù)據(jù)。但是，隨著互聯(lián)網(wǎng)的興起，以共享、分享為理念的互聯(lián)互通精神拆除了信息系統(tǒng)彼此之間的高墻籬笆，特別是一些社區(qū)(SNS)、電子商務(wù)、網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)應(yīng)用。與此同時，開放環(huán)境下的信息共享與信息保護(hù)的沖突愈演愈烈，形形色色的黑客使用各種手段竊取或劫持用戶的身份認(rèn)證信息，以獲得系統(tǒng)相關(guān)功能及數(shù)據(jù)的訪問權(quán)限，進(jìn)行非法操作。

由于靜態(tài)賬戶的固態(tài)密碼通常使用諸如MD5、SHA-1等雜湊函數(shù)多次或組合生成，完全可以通過字典攻擊的密碼猜測等手段獲得固態(tài)密碼，如網(wǎng)站http://www.cmd5.com/可以將多種雜湊函數(shù)生成的密碼進(jìn)行解密，獲得明文。因此，以靜態(tài)賬戶為手段的保護(hù)業(yè)務(wù)操作和數(shù)據(jù)的模式受到了極大的挑戰(zhàn)。

最近，始于CSDN的“泄密門”事件已經(jīng)波及到數(shù)家從事互聯(lián)網(wǎng)應(yīng)用的企業(yè)，包括人人網(wǎng)、天涯、多玩、7k7k等公司的靜態(tài)賬戶被泄露。因此，基于靜態(tài)賬戶的方式已不能滿足互聯(lián)網(wǎng)安全形式日益惡化的要求。

身份認(rèn)證安全問題分析

為了確保信息系統(tǒng)中的數(shù)據(jù)不被泄露、篡改和非授權(quán)訪問，身份認(rèn)證的安全問題至關(guān)重要。認(rèn)證竊取和劫持是最常見的一種安全威脅。

認(rèn)證竊取與劫持是指攻擊者通過各種手段竊取或劫持用戶的身份認(rèn)證信息，并因此獲得系統(tǒng)的相應(yīng)功能及數(shù)據(jù)的訪問權(quán)限。典型的認(rèn)證竊取與劫持包括如下幾種。

(1)密碼猜測

字典攻擊是最常用的密碼猜測方法。字典攻擊的一種策略是在已知用戶名的前提下，基于字典內(nèi)容按一定策略猜測密碼內(nèi)容，直到猜測成功。對于擁有大量用戶的應(yīng)用系統(tǒng)，另一種反向字典攻擊往往也會奏效，即假定系統(tǒng)中會有人使用某一簡單密碼，如“123456”，然后按字典序猜測用戶名。這類攻擊通常發(fā)生在需要認(rèn)證的Web前端。

(2)會話劫持

會話劫持是指用戶在系統(tǒng)成功認(rèn)證后所獲得的會話標(biāo)識(SessionID)被攻擊者竊取或劫持利用，從而得以扮演該用戶身份與系統(tǒng)交互。應(yīng)用層會話劫持實現(xiàn)的主要原因有：

Session猜測。若Web的Session生成算法被攻擊者獲知，則有可能通過Session猜測得到某登陸用戶的SessionID，從而劫持該會話。

Session不充分超時。若用戶沒有顯式點擊“退出登陸”而直接關(guān)閉瀏覽器，則用戶SessionID通常會被保留一段時間后超時刪除。若超時時間設(shè)置過長，則可能會在這段時間內(nèi)被攻擊者利用。

會話Cookies信息竊取。很多情況下系統(tǒng)使用Cookie在瀏覽器端記錄用戶認(rèn)證信息，因此在某些攻擊手段的支持下(如跨站腳本)Cookie會被攻擊者方便的竊取從而仿冒并劫持用戶認(rèn)證會話信息。

(3)基于SQL注入的認(rèn)證攻擊

考慮應(yīng)用系統(tǒng)基于用戶填入的用戶名及密碼執(zhí)行如下SQL查詢認(rèn)證用戶身份信息：

如果用戶輸入用戶名為 ' OR ''='并且密碼為 ' OR ''='，則將最終產(chǎn)生如下的SQL查詢語句，旁路掉認(rèn)證邏輯從而使認(rèn)證失效。

(4)基于密碼恢復(fù)的密碼獲取

很多互聯(lián)網(wǎng)應(yīng)用為用戶提供忘記密碼后的密碼恢復(fù)功能，比如通過輸入用戶郵件、電話號碼來恢復(fù)密碼，或通過Email恢復(fù)密碼。若密碼恢復(fù)方法或過程過于簡單，則很容易被攻擊者利用而成為重置密碼的途徑。該種方法多發(fā)生在Web前端。

基于二次身份認(rèn)證的雙鏈路登錄保護(hù)方案

基于靜態(tài)賬戶的安全問題一般發(fā)生在單鏈路上，這里采用雙鏈路的方式通過二次身份驗證實現(xiàn)登錄保護(hù)，以保障用戶身份的合法性。當(dāng)然，在單鏈路上也有一些行之有效的方法來解決很多登錄認(rèn)證的問題。比如，淘寶在靜態(tài)賬戶一次認(rèn)證的基礎(chǔ)上使用時代億寶(北京)科技有限公司的手機(jī)密令(”Me”令)產(chǎn)品進(jìn)行二次認(rèn)證，就是一種很好的解決方案。

要特別說明的是，僅僅依靠改進(jìn)靜態(tài)賬戶的固態(tài)密碼生成算法進(jìn)行一次認(rèn)證實現(xiàn)登錄保護(hù)往往是不夠的，目前普遍的做法是安全等級不高的應(yīng)用在靜態(tài)賬戶的基礎(chǔ)上輔助以圖形驗證碼的方式防止系統(tǒng)被DOS攻擊，但這實質(zhì)上不是一種登錄保護(hù)的措施。

(1)基本原理

基于二次身份認(rèn)證的雙鏈路登錄保護(hù)方案的基本原理是用戶通過PC端使用靜態(tài)賬戶進(jìn)行第一次身份認(rèn)證;認(rèn)證通過后，業(yè)務(wù)系統(tǒng)向用戶手持設(shè)備(包括智能手機(jī)、iPad等移動終端)發(fā)起二次認(rèn)證請求，用戶使用安裝在移動終端的上系統(tǒng)向業(yè)務(wù)系統(tǒng)啟動二次認(rèn)證，認(rèn)證通過后進(jìn)入業(yè)務(wù)系統(tǒng)進(jìn)行相關(guān)操作。認(rèn)證示意圖如左圖所示。

雙鏈路二次身份認(rèn)證的登錄保護(hù)完整序列圖如下所示。第一次認(rèn)證使用業(yè)務(wù)系統(tǒng)自有的用戶權(quán)限管理機(jī)制，第二次認(rèn)證使用獨立的認(rèn)證系統(tǒng)(這樣做的原因后續(xù)會有說明)。整個認(rèn)證過程大致分為11步：

Step1：用戶通過業(yè)務(wù)系統(tǒng)的客戶端(通常使用用戶PC機(jī)上的瀏覽器)發(fā)起使用靜態(tài)賬號第一次登錄請求;

Step2：業(yè)務(wù)系統(tǒng)客戶端將認(rèn)證請求發(fā)給業(yè)務(wù)系統(tǒng);

Step3：業(yè)務(wù)系統(tǒng)基于靜態(tài)賬戶進(jìn)行初認(rèn)證;

Step4：第一次認(rèn)證通過后，業(yè)務(wù)系統(tǒng)將以下行短信或GPRS方式向用戶的移動客戶端推送二次認(rèn)證請求;

Step5：用戶通過移動終端發(fā)起二次請求;

Step6：移動終端將二次請求發(fā)給業(yè)務(wù)系統(tǒng);

Step7：業(yè)務(wù)系統(tǒng)檢測本次二次請求是否由第一次請求產(chǎn)生的。即檢查二次請求的合法性和有效性;

Step8：如果本次二次認(rèn)證請求有效，業(yè)務(wù)系統(tǒng)則請求認(rèn)證系統(tǒng)進(jìn)行第二次驗證;

Step9：認(rèn)證系統(tǒng)認(rèn)證;

Step10：認(rèn)證系統(tǒng)將認(rèn)證結(jié)果返回系統(tǒng);

Step11：如果業(yè)務(wù)系統(tǒng)檢查二次認(rèn)證通過，自動進(jìn)入登錄后的界面，用戶就可以進(jìn)行相關(guān)操作了。

(2)認(rèn)證密碼生成與分發(fā)原則

在二次身份認(rèn)證的雙鏈路保護(hù)方案中有兩套密碼，一套是靜態(tài)賬戶的固態(tài)密碼，用于進(jìn)行第一次身份認(rèn)證;另一套是基于動態(tài)密碼技術(shù)的動態(tài)密碼，即OTP，用于進(jìn)行第二次身份認(rèn)證。

靜態(tài)賬戶由業(yè)務(wù)系統(tǒng)自身的權(quán)限體系產(chǎn)生，其固態(tài)密碼一般由2次MD5加密或1次MD5結(jié)合SHA-1算法的方式生成。因此，第一次登錄認(rèn)證由業(yè)務(wù)系統(tǒng)完成。

二次認(rèn)證使用的動態(tài)密碼由業(yè)界統(tǒng)一的算法AES或國家密碼局要求的SM3算法產(chǎn)生。動態(tài)密碼擁有雙因素特征，一般基于時間因子，長度為6位或8位(也可以客戶定制)，有效期小于60秒，只能使用一次。由認(rèn)證系統(tǒng)分發(fā)，故第二次認(rèn)證由認(rèn)證系統(tǒng)完成。

(3)體系結(jié)構(gòu)

基于二次身份認(rèn)證的雙鏈路登錄保護(hù)方案的體系結(jié)構(gòu)包括認(rèn)證系統(tǒng)、被保護(hù)的業(yè)務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)的客戶端、移動客戶端。各模塊的功能和作用概要說明如下：

認(rèn)證系統(tǒng)：分發(fā)生成動態(tài)密碼(OTP)的種子(seed)，進(jìn)行賬號綁定和解綁，實現(xiàn)OTP認(rèn)證的功能。

業(yè)務(wù)系統(tǒng)：分發(fā)靜態(tài)賬號，實現(xiàn)第一次身份認(rèn)證，請求第二次身份認(rèn)證

移動客戶端：申請賬號初始化綁定，根據(jù)認(rèn)證系統(tǒng)分發(fā)的種子并基于時間因子生成動態(tài)密碼，發(fā)起二次認(rèn)證。

業(yè)務(wù)客戶端：發(fā)起第一次認(rèn)證請求，并相應(yīng)第二次認(rèn)證結(jié)果

(4)解決問題

從前面所述的工作原理可以看出，基于二次身份認(rèn)證的雙鏈路登錄保護(hù)方案完全可以解決靜態(tài)賬戶泄露后的應(yīng)用系統(tǒng)安全問題，這是因為該方案采用兩套密碼，通過兩條不同的通信鏈路進(jìn)行認(rèn)證。

此外，該方案在一定程度上也可以解決釣魚和欺詐等安全隱患。

實踐

時代億寶(北京)科技有限公司www.timesafer.com是一家專業(yè)的安全身份認(rèn)證產(chǎn)品供應(yīng)商，公司生產(chǎn)的手機(jī)密令(”Me”令)產(chǎn)品(商標(biāo)為Me Order)正是基于上述思想研發(fā)并擁有相關(guān)專利。該產(chǎn)品能夠運行在Android、iOS、WP7及能識別Kjava程序的各種主流手機(jī)操作系統(tǒng)上，目前為淘寶的多個應(yīng)用場景身份認(rèn)證提供深度的安全保護(hù)。